Informações sobre logs de eventos (Active Directory)

Informações sobre logs de eventos (Active Directory)

Recentemente, três dos meus administradores do Active Directory não conseguiram fazer login no servidor AD por meio do RDP.

Depois de verificarmos tudo, descobrimos que esses 3 usuários foram adicionados em um grupo de segurança chamado "Negar acesso RDP" depois que removi os usuários deste grupo, eles podem fazer login agora.

  1. Só quero verificar se há algum registro que possa me fornecer informações sobre quem adicionou esses três usuários a este grupo "Negar acesso RDP"?

  2. Este grupo de segurança (Negar acesso RDP) é padrão ou criou um ??

  3. Se for criado, como verificar quem o criou?

Obrigado, Ram

Responder1

Este não parece ser um grupo interno, portanto provavelmente foi criado por alguém e associado à configuração de política de grupo que nega acesso aos usuários via RDP.

A única maneira de descobrir quem criou esse grupo é:

  • Se você estiver auditando alterações de grupo
  • Se o log de eventos ainda contiver o evento e não tiver sido substituído

Você também não mencionou se é um domínio ou um grupo local? Se for um grupo de domínio, o evento que você procura está aqui:

https://system32.eventsentry.com/security/event/4727

Essa página também mostra qual auditoria precisa ser habilitada para obter esse evento em primeiro lugar.

informação relacionada